Những kẻ tấn công vẫn đang tìm thấy rất nhiều hệ thống dễ bị tấn công Bluekeep

Những kẻ tấn công vẫn đang tìm thấy rất nhiều hệ thống dễ bị tấn công Bluekeep

Bất chấp bản vá do Microsoft phát hành cho BlueKeep, những kẻ tấn công vẫn đang khai thác lỗ hổng này, nhấn mạnh vấn đề về cách áp dụng các bản vá trong các tổ chức và bởi người dùng cá nhân.

Viện SANS đã quan sát việc khai thác lỗ hổng BlueKeep trong thời gian thực trong một vài tháng. Các nhà nghiên cứu sử dụng một công cụ có tên Shodan để theo dõi những honeypots cố tình tiếp xúc với Internet mà không cài đặt bản vá BlueKeep.

BlueKeep, được theo dõi là CVE-2019-0708, là một lỗ hổng trong dịch vụ Remote Desktop Protocol (RDP) ảnh hưởng đến Windows XP, Windows 7, Windows Server 2003 và Windows Server 2008. Lỗ hổng này có thể cho phép thực thi mã từ xa mà không kích hoạt bất kỳ báo động nào trên điểm cuối mục tiêu. Vấn đề tồi tệ đến mức Microsoft đã nhanh chóng đưa ra một bản vá ngay cả đối với các hệ điều hành không còn được hỗ trợ chính thức.

“Lỗ hổng này là xác thực trước và không yêu cầu tương tác người dùng. Một kẻ tấn công đã khai thác thành công lỗ hổng này có thể thực thi mã tùy ý trên hệ thống đích,” ông cho biết trong lời khuyên ban đầu. “Một kẻ tấn công sau đó có thể cài đặt các chương trình; xem, thay đổi hoặc xóa dữ liệu; hoặc tạo tài khoản mới với quyền người dùng đầy đủ”

Ước tính có khoảng 1 triệu máy tính đang chạy các hệ điều hành có thể khai thác khi bản vá được phát hành vào tháng 5, nhưng các nhà nghiên cứu của SANS phát hiện ra rằng nhiều trong số chúng vẫn chưa được vá. Nói một cách đơn giản, bản vá Microsoft hầu như bị các cá nhân và công ty bỏ qua.

“Như chúng ta thấy, dường như phần trăm các hệ thống lỗ hổng dường như giảm ít nhiều đều đặn trong vài tháng qua và có vẻ như các phương tiện truyền thông về chiến dịch gần đây đã làm rất nhiều để giúp đỡ”. Theo như các nhà nghiên cứu của SANS . “Vì thế, dường như vẫn còn hàng trăm ngàn hệ thống dễ bị tấn công ngoài kia, chúng tôi phải hy vọng rằng worm mà mọi người mong đợi sẽ không đến sớm bất cứ lúc nào.”

Số lượng hệ thống dễ bị tấn công BlueKeep đang giảm, nhưng không đủ nhanh. Một cách giải quyết cho việc khai thác mà không cài đặt bản vá yêu cầu vô hiệu hóa hoàn toàn tính năng RDP nếu nó không được sử dụng.